Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

База краденых логинов и паролей для Microsoft Office 365 стала доступна через поиск Google

22/01/21

Microsoft6Хакеры, атаковавшие тысячи организаций по всему миру в рамках масштабной фишинговой кампании, забыли защитить свой «улов», в результате чего он стал доступен через поиск Google.

В продолжавшейся более полугода фишинговой кампании использовались десятки доменов с поддельными страницами авторизации Microsoft Office 365. Несмотря на использование очень простых техник, злоумышленникам удавалось успешно обходить фильтры безопасности для электронных писем, благодаря чему они собрали как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365.

Как обнаружили специалисты Check Point и Otorio, изучившие данную фишинговую кампанию, хакеры по ошибке сделали похищенные данные доступными через открытый интернет. По словам экспертов, злоумышленники сохранили похищенную информацию на специально зарегистрированных для этого доменах, но разместили данные в публично доступном файле, и поисковая система Google его проиндексировала.

Исследователи также обнаружили, что злоумышленники взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Как пояснили эксперты, киберпреступники предпочитают использовать взломанные серверы вместо собственной инфраструктуры из-за хорошей репутации скомпрометированных сайтов.

Изучив информацию примерно из 500 записей, исследователи смогли определить, что жертвами фишинговой кампании чаще всего становились компании в сфере строительства (16,7%), энергетики (10,7%) и информационных технологий были (6,0%).

С целью заманить жертв на мошеннические страницы, злоумышленники использовали в фишинговых письмах несколько тем. В поле «Тема» указывалось имя жертвы или название компании, а во вложении содержалось отсканированное уведомление в формате HTML.

После открытия вложения через web-браузер по умолчанию появлялось размытое изображение, поверх которого открывалась поддельная форма авторизации в Microsoft Office 365. «Этот документ защищен паролем. Пожалуйста, введите пароль», - сообщалось в форме авторизации. Поле имени пользователя уже было заполнено адресом электронной почты жертвы, и у жертвы не возникало никаких подозрений.

Запущенный в фоновом режиме JavaScript-код проверял подлинность введенных жертвой учетных данных, отправлял их на подконтрольный злоумышленникам сервер и для отвлечения внимания переадресовывал жертву на настоящую страницу авторизации в Microsoft Office 365.

Для обхода обнаружения хакеры рассылали фишинговые письма из скомпрометированных почтовых ящиков. К примеру, в одной из атак злоумышленники выдавали себя за немецкого хостинг-провайдера IONOS by 1&1.Хотя фишинговая кампания началась в августе 2020 года, исследователи также обнаружили фишинговые письма, датированные маем 2020 года.

Темы:поисковикиПреступленияMicrosoft Officeхищение данных
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...